大型僵尸网络攻击WordPress博客平台和Joomla网站平台
两大僵尸网络正在使用或瞄准了各种内容管理系统,包括非常流行的WordPress博客平台和Joomla网站平台。企业和服务供应商网络安全和管理解决方案领先供应商Arbor Networks指出,最近的一次行动开始于2013年5月底,行动名称为“Fort Disco”。 Arbor公司已经发现了6个命令与控制服务器,在超过25,000台受感染的Windows机器上运行,这些机器被用来不断尝试密码组合来暴力攻击CMSs。
僵尸系统网站瞄准CMSs
迄今为止,有6,000多台安装了WordPress博客平台、Joomla网站平台和Datalife Engine商业CMS系统的机器受到了危害。Arbor深刻理解此次行动的意义,因为在“Fort Disco”行动之后留下了一些可以公开获取的日志文件。尽管存在这方面疏忽,僵尸系统主网站还是使用了一些半智能恶意软件来逃避侦查。
他们至少使用了4种恶意软件,这些软件会接受指令并把重点放在目标网站,其中包含5,000到10,000个之间的一个时间变量列表。另一条指令会告诉软件该使用什么密码,有时还会对密码提供统一资源定位器(URL)。僵尸系统主网站将获得成功非法闯入的返回报告。
在788个案例中,目标网站上被安装了PHP文件后门,允许攻击者浏览文件系统、上传或下载文件以及在受感染的服务器上执行命令。Arbor公司的Matthew Bing说道:“通过向受害站点上传PHP shell脚本,攻击者可以轻而易举地向千万个受害网站发布指令。”
在一些网站上,有一个重定向器向用户发送Styx透代码工具包。Arbor公司认为,攻击者正在吸纳CMSs和博客平台为僵尸网络的一部分为将来的攻击做准备。
Arbor公司认为,侵入者的总部在苏联国家。大多数目标网站都设在俄罗斯或乌克兰境内,而所有的指挥控制网站都在这两个国家。恶意软件一开始是怎样侵入到机器当中的,这仍然是个未解之谜。“我们能够看出,恶意软件原始文件名(maykl_lyuis_bolshaya_igra_na_ponizhenie.exe)的含义与Michael Lewis俄文版的书《以大见小:末日机器》有关,该文件带有可执行的附件。”
“另一个文件名(proxycap_crack.exe)指的是ProxyCap程序的破裂。目前尚不清楚受害者是否曾被引诱运行这些文件。如果是的话,这就是唯一的感染途径。关于感染机理,C&C 网站并未提供任何附加的线索。”
趋势科技(Trend Micro)公司警告说,成千上万以WordPress博客平台、Drupal系统、Joomla网站平台为基础的受害网站正在成为滥发垃圾邮件的僵尸网站的一部分。受害网站包含有效载荷链接和垃圾邮件脚本,并发送给用户以传播恶意软件。
趋势科技公司认为,有195,000域和IP地址受到感染,变成StealRat垃圾邮件僵尸网路的一部分。该公司在本周发表的博客中说道:“这些受害网站的共同点是它们都使用脆弱的CMS运行软件。”
关于Arbor Networks
Arbor Networks是企业和服务供应商网络安全和管理解决方案领先供应商。Arbor的成熟的解决方案有助于发展和保护客户网络、业务和品牌。通过其与世界各地的服务供应商和全球的网络运营商建立的无比的特许关系,经由ATLAS®主动威胁级分析系统,Arbor可对互联网安全和交易趋势提供无与伦比的洞察力和观点。通过与全球270多家网络运营商的独特合作协议,ATLAS能够共享实时安全信息、交易信息和路由信息,发出众多的业务决策通报。
关于最新的安全威胁和互联网交易趋势的技术观点,请访问我们的网站:http://arbornetworks.com和博客http://ddos.arbornetworks.com/
- 废纸原纸运行稳定后市平稳调整焊接手套柴油泵浴缸经纬仪钛钢Frc
- E系列高速成液压夯实机及其应用特点铜叶轮压力仪表驳船早强剂横切机Frc
- 中国国际电力电工展十月京城开幕牙条电工设备高频天线电阻材料曝气器Frc
- 全球食品包装纳米产品的销售达86亿美元钢闸阀马鞍山分析器汽车灯具水阀Frc
- 西门子中国2011财年业务增长再创新高新沂专利注册气缸清洁设备压限器Frc
- 三大运营商给力手机支付凹线床罩钻石蓝晶石避碰装置Frc
- PTA中长期下跌之势未完漂白粉铁艺缝纫机管件加工粘土Frc
- 2003年农用塑料膜价格将上涨保护卡布辊掘进机蛏子养殖雪蓉机Frc
- 吉安304不锈钢方管707030机械设备阻燃胶带碟子光衰减器电主轴组合开关Frc
- 世界纸品的发展情况防火阀小说PE水箱家居地漏送水Frc